Световой Бассейн
 | этой статьи Начальный раздел может быть слишком коротким, чтобы адекватно суммировать ключевые моменты . ( апрель 2022 г. ) |
 | Эту статью может быть очень сложно понять . В частности, статья не объясняет, что такое LightBasin для нетехнического читателя, не являющегося специалистом по компьютерной безопасности в отношении постоянных угроз. ( апрель 2022 г. ) |
LightBasin , также называемая UNC1945 Mandiant , , представляет собой предполагаемую китайскую группу кибершпионажа, которую описывают как серьезную постоянную угрозу связанную с многочисленными кибератаками на телекоммуникационные компании. [1] [2] [3] Будучи продвинутой постоянной угрозой, они стремятся получить несанкционированный доступ к компьютерной сети и остаются незамеченными в течение длительного периода времени. Их связывают с атаками на системы Linux и Solaris . [1] [2] [3]
История
[ редактировать ]Кибершпионская группа LightBasin действует с 2016 года. [1] [2] В CrowdStrike заявляют, что они базируются в Китае , хотя их точное местоположение неизвестно. [1] Они атаковали 13 операторов связи. [2]
Цели
[ редактировать ]В CrowdStrike говорят, что группа необычно нацелена на протоколы и технологии операторов связи . [1] Согласно расследованию одного из таких нарушений, проведенному CrowdStrike, LightBasin использовала внешние серверы системы доменных имен (eDNS), которые являются частью сети General Packet Radio Service (GPRS) и играют роль в роуминге между различными операторами мобильной связи, для прямого подключения к и от GPRS-сети других телекоммуникационных компаний были взломаны через Secure Shell и через ранее установленные импланты. Многие из их инструментов написаны для них, а не лежат в наличии. [1]
После компрометации системы затем установил бэкдор Solaris , известный как SLAPSTICK, для подключаемого модуля аутентификации . [2] Они используют TinyShell, Python командную оболочку , используемую для управления и выполнения команд посредством HTTP- запросов к веб-оболочке. [4] для связи с IP-адресами злоумышленников. Скрипты туннелируются через эмулятор SGSN , который, по словам CrowdStrike, предназначен для поддержки OPSEC . [3] Обслуживающий узел поддержки GPRS (SGSN) является основным компонентом сети GPRS, который обрабатывает все данные с коммутацией пакетов внутри сети, например, управление мобильностью и аутентификацию пользователей. [5] Использование этой формы туннелирования снижает вероятность его ограничения или проверки решениями сетевой безопасности. [1] [3]
CrowdStrike рекомендует настроить брандмауэры , обрабатывающие трафик GPRS, на ограничение доступа к трафику протокола туннелирования DNS или GPRS. [1]
Ссылки
[ редактировать ]- ^ Jump up to: а б с д и ж г час Николс, Шон (20 октября 2021 г.). « Хакеры LightBasin провели 5 лет, скрываясь в телекоммуникационных сетях» . ТехТаржет . Архивировано из оригинала 29 ноября 2023 г. Проверено 08 апреля 2022 г.
- ^ Jump up to: а б с д и Илашку, Ионут (19 октября 2021 г.). «Хакерская группа LightBasin за два года взломала 13 глобальных телекоммуникационных компаний» . Пипящий компьютер . Архивировано из оригинала 24 июля 2023 г. Проверено 08 апреля 2022 г.
- ^ Jump up to: а б с д «LightBasin: угроза роуминга для телекоммуникационных компаний» . КраудСтрайк . 19 октября 2021 года. Архивировано из оригинала 8 апреля 2022 года . Проверено 9 апреля 2022 г.
- ^ «День 27: Tiny SHell (бэкдор в стиле SSH с полнофункциональным терминалом)» . Середина . 26 января 2019 г.
- ^ «СГСН» . Телеком АВС . Архивировано из оригинала 17 мая 2022 г. Проверено 11 мая 2022 г.